Как сегодня атакуют компании: типовые сценарии и план действий

Только конкретные цепочки атак и план действий, чтобы бизнес не остановился

Как происходят атаки в реальности

Атаки автоматизированы, а обнаружение происходит слишком поздно

Большинство атак начинаются с незаметных уязвимостей

Чтобы стать целью, не нужен ни сервер, ни 1000 сотрудников

Типовая цепочка — 4 шага

Вход

Фишинг, слабые пароли, удаленный доступ, уязвимость

Закрепление

Чтобы не выкинуло из системы после прохода

Расширение

Доступ к серверам / 1С / почте / файлам

Ущерб

Шифрование, удаление данных, утечка, остановка сервисов

Решает не идеальная защита, а время обнаружения и регламент реакции

Сценарии, которые чаще всего бьют по бизнесу

Шифровальщик → Простой систем

Доступ получают через уязвимости, затем шифруют серверы и общие папки

MFA, сегментация, бэкапы, тесты восстановления, ограничение прав

Компрометация почты → Потеря денег, контрактов и переписки

Фишинг или повторное использование паролей для захвата ящика и компроментации писем от руководителей

MFA, правила входа, защита от фишинга, контроль пересылок

Утечка ПДн → Штрафы и репутационные потери

Доступы к папкам/облакам/CRM из-за неверных прав, общих учёток или утёкших паролей

Инвентаризация данных, разграничение доступа, логирование, регламент реагирования на инциденты

Подрядчик/аутсорс → Дополнительная точка входа

Через общий доступ и пароли подрядчика проходят в инфраструктуру основной компании

Отдельные учётки, MFA, ограничение по IP и времени, журналирование и контроль действий

Тихая компрометация → Незаметное присутствие неделями

Злоумышленник не шифрует сразу, а наблюдает, повышает привилегии, собирает данные

Мониторинг событий, алерты на критичные действия, регулярный обзор доступа и подозрительной активности

Даже небольшой бизнес — полноценная цель

Типичная минимальная ИТ-среда

1 бухгалтер
Почта
База клиентов

Этого достаточно, чтобы

Украсть данные
Остановить работу
Получить штраф по 152-ФЗ на миллионы рублей

Минимальный план с чего начать строить свою безопасность

1

Включить MFA для почты, удаленного доступа и админ-аккаунтов

2

Проверить, что удаленный доступ (RDP/VPN) не открыт в интернете или ограничен (IP/доступ по MFA)

3

Настроить бэкапы по правилу 3-2-1 и проверить восстановление

4

Убрать общие учётки, выдать персональные и минимальные права

5

Включить обновления на ключевых системах и сервисах

6

Включить логирование критичных событий: входы, повышения прав, админ-действия

7

Задокументировать план реагирования: кто отвечает, контакты, шаги, эскалация

Постоянный цикл безопасности

Разовые меры помогают. Но бизнес спасает только постоянный контур 24/7

Подготовка*
Мониторинг 24/7
Реагирование и эскалация
Локализация и устранение
Отчёт и рекомендации

*Разовые меры помогают. Но бизнес спасает только постоянный контур 24/7

Серебриум Эгида ведёт этот цикл полностью: от обнаружения до восстановления с собственным ПО

Если остались вопросы

Почему атакуют даже небольшой бизнес?

+
Потому что атаки стали массовыми и автоматизированными: злоумышленники сканируют всех подряд. У небольших компаний часто слабее защита — поэтому они становятся простой целью.

Какие 3 действия дают максимальный эффект быстрее всего?

+
MFA, бэкапы и тесты восстановления, ограничить права доступов.

Как понять, что компрометация уже идёт?

+
Типичные признаки: странные входы, новые админские права, правила пересылки в почте, появление новых служб/задач, нетипичные соединения и запуски процессов. Но главное — чтобы замечать это вовремя, нужны логи и мониторинг, иначе признаки видны слишком поздно.

Что делать в первые часы, если случился инцидент?

+
Локализовать (изолировать хост/учётку), ограничить доступы, зафиксировать логи/артефакты, оценить масштаб и дальше действовать по плану реагирования и эскалации.

Если у нас нет плана и мониторинга 24/7 — с чего начать?

+
С разбора ИТ-среды: покажем, где реальные риски и что мешает быстро остановить инцидент, дадим приоритетный план шагов и подключения мониторинга.

Хотите понять, где вы реально теряете время при инциденте?

Начните с разбора ИТ-среды — покажем текущие риски и предложим план Эгида